Ce n’est pas la première fois que Billy « BK » Rios nous parle de hack d’appareils et appareillages médicaux. Cette fois, il s’est lancé dans une vaste opération de fuzzing sur une série de pompes (en langage vulgaire, systèmes de contrôle de « goutte à goutte ») de la série PCA3, PCA5, PlumA PCA Lifecare et Symbiq. Un petit hack, et le patient trépasse par overdose de morphine ou autre médication.
Rios dénonce le fait que, de génération en génération, le firmware de ces équipements n’évolue pas et conserve les mêmes erreurs de débutant : session telnet sans authentification, mots de passe par défaut inscrits en « dur » dans la mémoire de l’appareil, clefs privées communes à différents équipements, logiciels totalement dépassés et comptant plus d’une centaine de bugs connus et exploitables.
Les constructeurs et opérateurs hospitaliers rétorquent que ces exploits ne peuvent être injectés qu’en utilisant l’interface série nécessaire pour établir un dialogue entre la pompe et le système de configuration, et que ladite interface n’est jamais laissée en permanence sur l’appareil. On en revient à la notion d’analyse de risque et de pondération de dangerosité liée à un éventuel « accès console » ou non.
Indiscutablement, les recherches de Billy Rios sont spectaculaires, et ne peuvent que jouer sur le pathos des lecteurs. Hack radio des pacemakers, intrusion dans les pompes à insuline, exploitation des réseaux hospitaliers par les liens Wifi, vol d’information des fichiers au format Dicom… tout a été fantasmé, ou presque. Mais cela ne doit pas faire oublier que de telles attaques ne peuvent être que « ciblées » et ne concernent qu’une seule victime potentielle à la fois, et non un « groupe de patients au hasard dans le monde ». En outre, ces « preuves de faisabilité » exigent très souvent une immédiate proximité avec le patient. Si, dans la littérature, le « témoin gênant » est toujours assassiné par un faux infirmier chargé d’injecter une rasade de strychnine dans sa « perf », la réalité est bien différente, fort heureusement. Les hack de Rios relèvent plus du mauvais polar que de l’alerte réelle.
Cependant, ce travail met une fois de plus en évidence le manque total d’expérience en matière de sécurité informatique de la part des intégrateurs. Le risque est un peu plus élevé lorsque ces mauvaises pratiques touchent des objets connectés de la vie quotidienne. L’IoT, ce nouveau défi qui reprend les mêmes thèmes que la Mobilité, mais à la puissance 10, n’a pas encore droit de cité dans le domaine du médical « vital ».